Limitazioni e limitazioni dei controlli di sovranità per il Regno dell'Arabia Saudita (Arabia Saudita)
In questa pagina vengono descritte le restrizioni, le limitazioni e altre configurazioni quando si utilizza il pacchetto di controlli Sovereign Controls per il Regno dell'Arabia Saudita (KSA).
Panoramica
Il pacchetto di controlli dei controlli di sovranità per l'Arabia Saudita consente di controllo dell'accesso ai dati e funzionalità di residenza per i prodotti Google Cloud supportati. Alcuni di questi servizi funzioni sono limitate o limitate da Google al compatibile con i controlli di sovranità per l'Arabia Saudita. La maggior parte di queste restrizioni vengono applicate limitazioni quando viene creata una nuova cartella Assured Workloads per i controlli di sovranità per l'Arabia Saudita. Tuttavia, alcuni possono essere modificati in un secondo momento modifica in corso criteri dell'organizzazione. Inoltre, alcune restrizioni e limitazioni richiedono la responsabilità dell'utente. per l'aderenza.
È importante capire in che modo queste restrizioni modificano il comportamento di un un determinato servizio Google Cloud o influisce sull'accesso ai dati residente dei dati. Ad esempio, alcune funzioni o capacità potrebbero essere disattivate automaticamente per garantire che i dati le limitazioni di accesso e la residenza dei dati. Inoltre, se dell'impostazione dei criteri dell'organizzazione potrebbe avere conseguenze indesiderate di copiare i dati da una regione all'altra.
Servizi supportati
Se non diversamente indicato, gli utenti possono accedere a tutti i servizi supportati tramite la console Google Cloud.
I seguenti servizi sono compatibili con i controlli di sovranità per il Regno dell'Arabia Saudita:
| Prodotto supportato | Endpoint API | Funzionalità o criteri dell'organizzazione interessati |
|---|---|---|
| Approvazione accesso |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Artifact Registry |
Endpoint API regionali:
Gli endpoint API Location non sono supportati. Gli endpoint API globali non sono supportati. | Nessuno |
| BigQuery [2] |
Endpoint API regionali:
Gli endpoint API Location non sono supportati. Gli endpoint API globali non sono supportati. | Nessuno |
| Bigtable |
Endpoint API regionali:
Gli endpoint API Location non sono supportati. Gli endpoint API globali non sono supportati. | Nessuno |
| Cloud DNS |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Cloud HSM |
Endpoint API regionali:
Gli endpoint API Location non sono supportati. Gli endpoint API globali non sono supportati. | Nessuno |
| Cloud Interconnect |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Funzionalità interessate |
| Cloud Key Management Service (Cloud KMS) |
Endpoint API regionali:
Gli endpoint API Location non sono supportati. Gli endpoint API globali non sono supportati. | Nessuno |
| Cloud Load Balancing |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Cloud Logging |
Endpoint API regionali:
Gli endpoint API Location non sono supportati. Gli endpoint API globali non sono supportati. | Nessuno |
| Cloud Monitoring |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Cloud NAT |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Cloud Router |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Cloud SQL |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Cloud Storage |
Endpoint API regionali:
Gli endpoint API Location non sono supportati. Gli endpoint API globali non sono supportati. | Nessuno |
| Cloud VPN |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Compute Engine |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Funzionalità interessate e i vincoli dei criteri dell'organizzazione |
| Dataflow |
Endpoint API regionali:
Gli endpoint API Location non sono supportati. Gli endpoint API globali non sono supportati. | Nessuno |
| Dataproc |
Endpoint API regionali:
Gli endpoint API Location non sono supportati. Gli endpoint API globali non sono supportati. | Nessuno |
| Contatti necessari |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| GKE Hub |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Console Google Cloud |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Google Kubernetes Engine |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Funzionalità interessate e i vincoli dei criteri dell'organizzazione |
| Identity and Access Management (IAM) |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Identity-Aware Proxy |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Network Connectivity Center |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Servizio Criteri dell'organizzazione |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Persistent Disk |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Pub/Sub |
Endpoint API regionali:
Gli endpoint API Location non sono supportati. Gli endpoint API globali non sono supportati. | Nessuno |
| Resource Manager |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Impostazioni risorsa |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Service Directory |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Spanner |
Endpoint API regionali:
Gli endpoint API Location non sono supportati. Gli endpoint API globali non sono supportati. | Nessuno |
| Virtual Private Cloud |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
| Controlli di servizio VPC |
Gli endpoint API regionali non sono supportati. Gli endpoint API Location non sono supportati. Endpoint API globali:
| Nessuno |
Criteri dell'organizzazione
Questa sezione descrive in che modo l'organizzazione predefinita influisce su ogni servizio dei vincoli dei criteri quando vengono creati cartelle o progetti Controlli di sovranità per l'Arabia Saudita. Altri vincoli applicabili, anche se non impostati predefinita: può fornire una "difesa in profondità" aggiuntiva per proteggere ulteriormente le risorse Google Cloud della tua organizzazione.
Vincoli dei criteri dell'organizzazione a livello di cloud
Le seguenti vincoli dei criteri dell'organizzazione si applicano a qualsiasi servizio Google Cloud applicabile.
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
gcp.resourceLocations |
Impostato su in:us-locations come allowedValues
voce dell'elenco.Questo valore limita la creazione di nuove risorse Solo gruppo di valori me-central2. Se impostato, nessuna risorsa può essere
creati in altre regioni, regioni multiple o località al di fuori di
KSA. Consulta le
Gruppi di valori dei criteri dell'organizzazione
documentazione per ulteriori informazioni.La modifica di questo valore rendendolo meno restrittivo potrebbe compromettere il rendimento la residenza dei dati consentendo la creazione o l'archiviazione di dati al di fuori dell'Arabia Saudita confine dati. |
gcp.restrictServiceUsage |
Imposta l'opzione su "Consenti tutti i servizi supportati". Determina quali servizi possono essere abilitati e utilizzati. Per ulteriori informazioni, vedi Limita l'utilizzo delle risorse per i carichi di lavoro. |
Vincoli dei criteri dell'organizzazione di Compute Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
compute.disableInstanceDataAccessApis |
Imposta su True. Disattiva a livello globale instances.getSerialPortOutput() e
API instances.getScreenshot().Se abiliti questo criterio dell'organizzazione, non potrai: generare credenziali sulle VM Windows Server. Se devi gestire un nome utente e una password su una VM Windows, seguenti:
|
compute.enableComplianceMemoryProtection |
Imposta su True. Disattiva alcune funzionalità di diagnostica interna per fornire ulteriori della memoria in caso di errore dell'infrastruttura. La modifica di questo valore potrebbe influire sulla residenza dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato. |
Vincoli dei criteri dell'organizzazione di Google Kubernetes Engine
| Vincolo dei criteri dell'organizzazione | Descrizione |
|---|---|
container.restrictNoncompliantDiagnosticDataAccess |
Imposta su True. Utilizzato per disabilitare l'analisi aggregata dei problemi del kernel, necessaria per mantengono il controllo di sovranità di un carico di lavoro. La modifica di questo valore potrebbe influire sulla sovranità dei dati nel carico di lavoro. noi consigliamo di mantenere il valore impostato. |
Funzionalità interessate
Questa sezione elenca in che modo le funzionalità o le capacità di ogni servizio sono interessate Controlli di sovranità per l'Arabia Saudita, inclusi i requisiti per gli utenti quando utilizzano una funzionalità.
Funzionalità di Compute Engine
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Le seguenti funzionalità di Compute Engine non sono disponibili nel
nella console Google Cloud. Utilizza l'API o Google Cloud CLI, se disponibile:
|
instances.getSerialPortOutput() |
Questa API è disabilitata. non potrai ottenere un output della porta seriale
dell'istanza specificata utilizzando questa API. Cambia l'organizzazione compute.disableInstanceDataAccessApis
il valore del vincolo del criterio su False per abilitare questa API. Puoi anche
abilitare e utilizzare la porta seriale interattiva.
|
instances.getScreenshot() |
Questa API è disabilitata. non potrai acquisire uno screenshot
l'istanza specificata utilizzando questa API. Cambia l'organizzazione compute.disableInstanceDataAccessApis
il valore del vincolo del criterio su False per abilitare questa API. Puoi anche
abilitare e utilizzare la porta seriale interattiva.
|
Funzionalità di Cloud Interconnect
| Funzionalità | Descrizione |
|---|---|
| VPN ad alta disponibilità | Devi abilitare la funzionalità VPN ad alta disponibilità quando utilizzi Cloud Interconnect con Cloud VPN. Inoltre, devi rispettare ai requisiti di crittografia e regionalizzazione elencati in questa sezione. |
Funzionalità di Cloud Storage
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | È tua responsabilità utilizzare Giurisdizionale Console Google Cloud per i controlli di sovranità per l'Arabia Saudita. Il giurisdizionale impedisce il caricamento e il download di oggetti Cloud Storage. A caricare e scaricare oggetti Cloud Storage, vedi quanto segue Riga Endpoint API conformi. |
| Endpoint API conformi | È tua responsabilità usare uno degli endpoint di località con di archiviazione ideale in Cloud Storage. Consulta Località di Cloud Storage per ulteriori informazioni. |
Funzionalità di Cloud VPN
| Funzionalità | Descrizione |
|---|---|
| Console Google Cloud | Le funzionalità di Cloud VPN non sono disponibili nella console Google Cloud. Utilizza le funzionalità di l'API o Google Cloud CLI. |
Note a piè di pagina
1. BigQuery è supportato, ma non viene attivato automaticamente quando crei una nuova
Cartella Assured Workloads a causa di un processo di configurazione interno. Questa procedura normalmente
termina in dieci minuti, ma in alcune circostanze può richiedere molto più tempo. Per verificare se
processo completato. Per abilitare BigQuery, segui questi passaggi:
- Nella console Google Cloud, vai alla pagina Assured Workloads.
- Seleziona la nuova cartella Assured Workloads dall'elenco.
- Nella pagina Dettagli cartella della sezione Servizi consentiti, fai clic su Rivedi gli aggiornamenti disponibili.
- Nel riquadro Servizi consentiti, esamina i servizi da aggiungere al
Limitazione dell'utilizzo delle risorse
criterio dell'organizzazione
per la cartella. Se i servizi BigQuery sono elencati, fai clic su
Consenti ai servizi di aggiungerli.
Se i servizi BigQuery non sono elencati, attendi il completamento del processo interno. Se servizi non vengono elencati entro 12 ore dalla creazione della cartella, contatta Assistenza clienti Google Cloud.
Al termine del processo di abilitazione, puoi utilizzare BigQuery Cartella Assured Workloads.